3 de octubre de 2015

BOTNET. Que opera con Linux generadora de tremendo ataque DDoS

 La botnet XOR DDoS lanza 20 ataques al día desde máquinas Linux comprometidas, a razón de 150 Gbps.
Ataques de Denegación de Servicio XOR DDoS
  • La investigación del SIRT de Akamai demostró que el ancho de banda de los ataques DDoS procedentes del botnet XOR DDoS abarcó desde Gbps de un solo dígito hasta 150+ Gbps – lo que es un tamaño de ataque extremadamente grande. El objetivo más frecuente fue el sector de los juegos, seguido por las instituciones educativas. El botnet ataca hasta 20 objetivos al día, un 90% de los cuales tuvo lugar en Asia. De los ataques DDoS procedentes del botnet XOR DDoS que Akamai ha mitigado, se describen en esta advertencia de amenaza varios ejemplos documentados los 22-23 de agosto. Uno de los ataques alcanzó casi 179 Gbps, y el otro casi 109 Gpbs. Se observaron dos vectores de ataques: inundaciones SYN y DNS.
  • La dirección IP a veces es falsa, pero no siempre. Los ataques observados en las campañas DDoS contra los clientes de Akamai fueron una mezcla de tráfico de ataques falso y no falso. Las direcciones IP falsas se generan de manera que parecen proceder del mismo espacio de /24 o /16 direcciones como el host infectado. Una técnica de “spoofing” donde solo el tercer o cuarto octeto de la dirección IP es alterada se utiliza para impedir que los ISPs (Proveedores de Servicios de Internet) bloqueen el tráfico falso en redes protegidas por uRPF (Unicast Reverse Path Forwarding).
Mitigación de DDoS de ataques XOR DDoS
  • Se observaron características estáticas identificables, incluyendo el valor TTL inicial, el tamaño de ventana TCP, y las opciones de cabecera TCP. Firmas de carga como éstas pueden ayudar a la mitigación de DDoS. Están disponibles en la advertencia de amenaza. Además, se suministran los filtros tcpdump para igualar el tráfico de ataques de inundaciones generado por este botnet.
Cómo detectar y eliminar el malware XOR DDoS
  • La presencia de XOR DDoS puede detectarse de dos maneras. Para detectar este botnet en una red, hay que buscar las comunicaciones entre un bot y su C2 utilizando una regla Snort que se proporciona en la advertencia. Para detectar la infección de este malware en un host Linux, la advertencia incluye una regla YARA que empareja los patrones de cadenas de caracteres observados en el binario.
  • XOR DDoS es persistente – ejecuta procesos que reinstalarán los ficheros maliciosos si se borran. Por lo tanto, eliminar el malware XOR DDoS es un proceso que consta de cuatro pasos para los cuales se proporcionan varios scripts en la advertencia:
  1. Identificar los ficheros maliciosos en dos directorios.
  2.  Identificar los procesos que fomentan la persistencia del proceso principal.
  3. Matar los procesos maliciosos.
  4. Borrar los ficheros maliciosos.
Akamai sigue monitorizando las continuas campañas que emplean XOR DDoS para lanzar ataques DDoS.
Más información
  • Sobre la amenaza, la eliminación del malware y las técnicas de mitigación de DDoS, descargue copia de advertencia de amenaza desde  www.stateoftheinternet.com/xorddos
Fuente: Help Net Security